サイバーセキュリティはみんなの仕事
チームの強さは最も弱い選手によって決まる、また、攻撃は最大の防御である、とはよく言われることです。
昨今のように、多くのリモートワーカーが組織の境界外からネットワークサービスに接続しているテレワークス環境においては、すべての従業員が、サイバーセキュリティのリスクを意識することが重要であり、経営幹部や管理者は、それを動機付けすることが仕事です。
サイバーセキュリティは、すべてのプレイヤーがリスク、ポリシー、運用に関する戦略的意思決定を行い、実施しなければならないチームスポーツと考えてください。そのため、すべてのプレーヤーの現在および将来の成功のための環境を作り出すために、ビジネスプレイブックに書かれるべきことは、次の6つです。
1.資産を最新の状態に保ち、パッチを完全に適用します。
IT資産の状況(機種やバージョンなど)を把握し、必要なパッチを適用して最新の状態に保ちます。未使用のポートとサービスを無効にします。ランサムウェアを含むマルウェアの防止、検出、軽減が可能な場合は、ウイルス対策/マルウェア対策/フィッシング対策技術を実装します。
2.データを包括的に把握し、不要になったデータを排除またはアーカイブすることを検討します。
何年も使用していない場合は、ビジネスにとって不要になったか、あるいは、サイバーセキュリティの対応の期限切れになった可能性があります。潜在的なインシデントが発生したときには、素早い対応が重要です。インベントリー、検出、対応までの平均時間は、組織の侵害コストに影響を与える可能性のある 3 つの重要な指標です。
3.災害対応計画をテストに入れ、計画どおりに進まないプロセスの部分を修正します。
チームの全員が、サイバー攻撃に対応するための役割と責任を理解し、連絡を取る必要がある他のチームメンバーに緊急の連絡先情報を持ち、そのインシデントが侵害される前にゲームプランが何であるかを知る必要があります。
4.セキュリティ情報、テキストまたは電子メールアラート、定期的なトレーニング、およびその他の活動を通じて、従業員のサイバーセキュリティ意識を継続的に構築します。
これは、脆弱性が発生した場合は、一人だけでなく組織全体に脅威をもたらすことを誰もが理解するのに役立ちます。
5.ソーシャル エンジニアリングの発生率を組織のセキュリティチームに報告します。
一般的な例としては、メールフィッシング(スパムリンクや添付ファイルを含む不正なメッセージ)などがあります。疑わしいと思われるメールは、知人からのメールに見える場合でも、削除するのが最善です。フィッシング詐欺(詐欺電話)、スミッシング(不正なSMSメッセージ)、釣り人フィッシン(偽のソーシャルメディアアカウント)など、他のタイプのフィッシング攻撃についても認識し続けます。
6.多要素認証(MFA) を実装します。
多要素認証(MFA)は、機密情報を含むサイトの周囲にセキュリティ層を追加したり、セキュリティを強化することが望ましい場合に加え、権限のないユーザーがアカウント所有者としてログインすることがより困難になります。アカウントのセキュリティをさらに強化するには、強力なパスワードも使用していることを確認します。複数の長いパスワードを覚えやすく管理することは困難であるため、より強力でシンプルなパスワード管理のためのパスワードマネージャの使用を検討してください。
★★
本稿は、ボルドリッジのブログの最近の記事「事業を守るためのサイバーセキュリティの6つのヒント」からの引用です。
ボルドリッジ(ボルドリッジ・エクセレンス・フレームワーク)は、米国発の「証明された」経営フレームワークです。
筆者らが翻訳した、ボルドリッジ・エクセレンス・フレームワークの要約版、「ボルドリッジ・エクセレンス・ビルダー【日本語版】」は、米国NISTのウェブサイトからダウンロードできます。ページ下方の Non-English Versions / Japanese を参照ください。
この記事が気に入ったらサポートをしてみませんか?